石貝貝

　　4月14日，中國農業銀行邯鄲分行（以下簡稱“邯鄲農行”）發現5100萬元的現鈔被盜，盜竊者是其銀行的兩名金庫保管員。

　　5100萬元是個什么概念？曾在農行工作多年的馬小姐告訴記者，如果按每張面值100元計算的話，1萬元疊在一起厚度大概1厘米，5100萬元疊在一起，就是51米高。按重量計算的話，1萬元的重量大概是150克，5100萬元足有1500多斤。

　　“我們聽到消息之后都很好奇，這么多的現金是怎么搬出去的？后來知道原來是多次偷盜，我們就更覺得奇怪了。農行每天都要結賬的，就算是少了50元也會用調錄影、重新盤點等方法，一定在當天查出來。怎么可能多次偷盜沒人發現呢？”

　　唯一的解釋就是該銀行存在的管理漏洞令人瞠目。邯鄲農行的案例頗具代表性，IBM發布的白皮書顯示：在各類操作風險中，對國內銀行業影響最大，破壞力最深遠的首先是內部欺詐，其次是外部欺詐。

　　操作風險已經很久不被重視了

　　目前，包括國有銀行、股份制商業銀行在內，多家銀行都尤其重視銀行風險管理。位于浙江的某股份制商業銀行風險控制官告訴記者，他們對于信用風險控制有比較嚴格的規定，如業務負責人和風險監控官彼此制衡、共同控制信用風險、“一票否決”等。而對于操作風險的控制則相對較弱。

　　據波士頓咨詢公司2006年風險調查，各銀行信用風險在銀行全部風險中所占比重最大。選取的四家樣本銀行中，其信用風險比例為34%到58%。而運營和業務風險（包括操作風險和業務風險）則占據比例相對較小，范圍從14%到27%。

　　依據巴塞爾協議，銀行的風險主要包括信用風險、市場風險以及操作風險三大類。信用風險指債務人未來不能按期還本付息的可能性，市場風險則是指因為利率、

匯率等市場因素波動而引起的、金融產品價值或收益的不確定性導致的風險，而操作風險則是指由于人員因素、流程因素、系統因素以及外部事件引起的風險。比如，人員的操作失誤、銀行內外勾結、流程設計不合理、流程執行不嚴格、系統失靈、系統漏洞、外部欺詐、突發外部事件以及經營環境的不利變化等。

　　“U狀曲線”一直被用來描述操作風險。如同一條“U”型曲線，銀行在開展新業務、上線新系統時，可能會存在規章制度不完善、員工操作經驗不足、管理漏洞等因素，因而出現操作風險的概率較高。當這些問題逐步解決后，發生操作風險的頻率就會降低。不過，當現有系統老化或市場經濟環境變化時，原有的規章制度、管理系統等與之不適應，操作風險又重新上升。

　　馬小姐介紹，操作風險最有可能發生的業務領域，就是在交易與銷售、零售銀行和商業銀行業務。其中，零售銀行業務是發生操作風險最多的，這主要是由于外部欺詐、內部流程管理不慎等原因。

　　它是可描述和測量的

　　量化操作風險最為直觀的好處就是，銀行可以據此進行資源分配，為災難性事件設置應急預案。然而問題在于，操作風險具有突發性、偶然性和難以預測等特點，因而它并不能像信用風險、市場風險那樣易于測量和描述。

　　最早提出操作風險量化模型的是DuncanWilson，他在1995年發表了“操作VAR（Value-at-Risk）的文章。他將投資風險控制領域的“VAR”理論應用到操作風險控制當中，提出銀行可以建立來自內部、外部的操作損失事件和數據庫，并從數據庫中模擬操作損失的分布。按照數理統計的理念，設置不同的置信區間（如95%、80%等），銀行就可以算出自身操作風險的VAR。基于此，銀行可以整體把握面臨的操作風險，準備緊急預案以及為其分配經濟資本。

　　然而，故事并未到此結束。波士頓咨詢人士指出，分配經濟資本后，銀行還必須對分配資本進行測量。這樣，才可以準確、一致地測量單個業務的風險回報比率。這些都應當被納入銀行的主要流程，如目標設定、預算與規劃、事后業績衡量等。

　　管理操作風險的兩大挑戰

　　目前，中外資銀行內部大都設有獨立的風險監控部門，來整體管理銀行風險。但是，對操作風險的管理卻不夠重視。

　　國外銀行往往會成立一個委員會，該委員會由各個涉及操作風險的部門組成，包括安全保衛部、科技部、后勤事務部等。該委員會對一些跨部門的問題進行協調。在農行工作多年的馬小姐認為，盡管國有銀行并沒有成立相應的管理委員會，但是國有銀行內部有內審、稽核、合規等安排設計，事實上已經實現了管理委員會功能。當然，“這也需要每位員工按部就班、一步步去做。”

　　波士頓咨詢人士則指出，銀行應將管理操作風險的成本視同為一種業務投資，即通過投入帶來更多的盈利和更高的增長。

　　為了實現這一目標，銀行必須面對兩大挑戰。首先，銀行必須擴大風險管理的投入范圍，不能單純注重風險測算和數據調校流程。也就是說，他們必須集中全力地將風險管理做法嵌入直接進入損益表的長期戰略和日常經營決策。其次，銀行不能孤立地按部門和業務線條認識和處理風險，因為這種做法勢必會增加成本并抑制累積效果，相反，銀行需要采取整體性、超越業務界限的風險管理實務。

　　波士頓咨詢人士說，要建立風險管理的治理框架，通過綜合的風險和資本管理來創造價值。這個框架包括界定資本金的管理流程、決策權限和責任以及溝通和報告原則等。銀行可以通過一個由財務總監、司庫、風險總監以及各業務決策層所組成的中央委員會來構建決策權限。這將是一個分配資源和創造價值的平臺。在采取了必要步驟來整合風險管理和資本管理之后，銀行就可以發揮其風險管理能力的杠桿效應以創造價值。

　　此外，管理操作風險也需要從培養理念入手。培養風險文化、增加風險識別、度量及管理能力，并把這些方面制度化、規范化、

信息化及標準化。

　　鏈接

　　四步走優化風險與回報的平衡

　　波士頓咨詢認為，風險和價值是同一事物的兩個方面。承擔風險必須創造收入，其留存收益再進入資本金池，作為進一步緩沖風險的基礎。為了獲得有效風險管理帶來的益處，這一根本原則必須納入銀行的整體戰略和業務流程之中。

　　因此，領先的銀行可以遵循四個步驟，以確保實現綜合的風險管理與資本管理。

　　步驟一：衡量風險。要量化風險，換句話說，就是要了解資本金需求。

　　步驟二：建立控制考量體系和流程。對資本使用進行測量，以準確確定單個業務的風險回報率。

　　步驟三：實施風險管理的治理框架。一旦建立監督風險調整業績的考量體現，它就必須被納入資本治理的總體框架。

　　步驟四：注重業務整合和影響。采取必要步驟整合風險管理和資本管理后，銀行就可以通過風險管理來創造價值。

中國經營報記者：石貝貝